Irgendwo in einem Zielsystem eines Chemieunternehmens, September 2025: Ein KI-Agent öffnet eine Datenbank, kategorisiert ihren Inhalt nach Geheimhaltungsgrad und bereitet die Exfiltration vor. Kein Mensch hat ihn in diesem Moment beauftragt. Kein Mensch weiß in diesem Moment, dass es passiert.
Das ist kein konstruiertes Szenario. Es ist GTG-1002 📎 – der Name, den Anthropic einer mutmaßlich staatlich unterstützten chinesischen Gruppe zugeordnet hat, die Claude Code als autonomes Einbruchswerkzeug gegen rund dreißig Organisationen weltweit einsetzte. Das vollständige technische Dokument 📎 beschreibt, was in den Zielsystemen passierte: Der Agent kartierte Netzwerktopologien, schrieb eigenen Exploit-Code, harvestete Credentials, etablierte Backdoors und dokumentierte alles sorgfältig für die nächste Angriffswelle. 80 bis 90 Prozent der taktischen Operationen führte er selbstständig aus. Der Mensch im Hintergrund drückte zu Beginn einen Knopf. Danach griff er an vier bis sechs Punkten ein – mit „Ja, weiter“ oder „Das sieht falsch aus.“ Die Arbeit eines Teams erfahrener Hacker, ausgeführt von einer Maschine, in einem Bruchteil der Zeit, gegen Finanzinstitute, Regierungsbehörden, Chemieunternehmen, Technologiekonzerne.
Was ich in der Analyse KI-getriebener Cyberkonflikte 📎 noch als strukturelle Perspektive beschrieben habe, ist mit GTG-1002 operativer Befund. Was dieser Vorfall verändert, ist nicht die Existenz von Angriffen auf kritische Infrastruktur. Er verändert ihre Geschwindigkeit, ihren Maßstab – und die Frage, wer oder was angreift.
Agentische KI ist keine neue Automatisierung. Sie ist eine neue Akteursklasse – weil sie Entscheidung, Identität und Ausführung in einem System vereint.
Agentische KI ist keine Weiterentwicklung klassischer Automatisierung. Der Unterschied ist kategorial, nicht graduell. Ein Automatisierungsskript führt aus, was deterministische Logik vorschreibt. Ein KI-Agent interpretiert Kontext, trifft nicht-deterministische Entscheidungen, akkumuliert persistenten Speicher über Sitzungen hinweg und koppelt sich über Tools und Connectoren an externe Systeme. Er bündelt in einem einzigen technischen Artefakt, was im klassischen Sicherheitsmodell getrennt ist: Identität, Entscheidungslogik und operative Ausführungsgewalt. Ich habe diese Architekturschicht zuletzt im Kontext von MCP ausführlich beschrieben 📎 – dort aus der Perspektive der Protokollsicherheit. Hier geht es um die operative Konsequenz für Betreiber regulierter Umgebungen.
In OT-Umgebungen – Energieleitsystemen, Wasserversorgungsnetzwerken, klinischen Workflows, Transportsteuerung – gilt das Purdue-Modell als konzeptuelle Grundlage: klare Netzwerktrennung zwischen IT-Schicht und OT-Schicht, definierte Übergabepunkte, menschliche Entscheidungshoheit an den Grenzen. Agentische KI-Systeme, die über MCP-Schnittstellen mit E-Mail-Systemen, Dokumentenablagen, Cloud-Ressourcen und in OT-nahen Konfigurationen auch mit Steuerungsanbindungen kommunizieren, überwinden diese Schichten entlang bestehender digitaler Verbindungen. Sie tun es unsichtbar, autonom und mit den Credentials ihrer Identitätsbindungen. Sicherheit am Kipppunkt 📎 – dieser Befund gilt für KRITIS-Infrastruktur generell: Unterhalb der normierten Oberfläche verändert sich die Bedrohungslage schneller, als das Regelwerk folgen kann. Agentische KI ist die aktuell schärfste Zuspitzung dieses Musters.
Die CISA, NSA und Partnerbehörden aus Deutschland, Australien, Kanada, den Niederlanden, Neuseeland und Großbritannien haben diesen Bruch im Dezember 2025 mit einem gemeinsamen Guidance-Dokument 📎 adressiert: „Principles for the Secure Integration of Artificial Intelligence in Operational Technology.“ Es ist eines der ersten gemeinsamen behördlichen Grundsatzdokumente zur sicheren KI-Integration für OT-Umgebungen. Es adressiert explizit den Einsatz von KI-Agenten in Systemen, die physische Prozesse direkt steuern. Es beschreibt das Risiko nicht als theoretisch. Es beschreibt es als nicht beherrschbar ohne spezialisierte Safeguards, die für diese Systemklasse erst noch entwickelt werden müssen.
Deutschland gehört zu den mitzeichnenden Behörden dieses Dokuments. Als explizite, eigenständige Anforderung ist agentische KI im BSI-Grundschutzkatalog noch nicht verankert.
Vier Szenarien – alle ohne Zero-Day, alle bereits dokumentiert
Was folgt, sind keine Risikomodellierungen. Es sind Szenarien, die sich aus bereits dokumentierten Vorfällen, öffentlich zugänglicher Forschung und den systemischen Besonderheiten regulierter KRITIS-Umgebungen ergeben. Kein Zero-Day. Keine staatliche Spezialinfrastruktur. Jedes Szenario basiert auf Angriffsklassen, die in der Wildnis beobachtet wurden.
Nehmen wir einen Energieversorger, der KI-gestützte Planungswerkzeuge mit MCP-Anbindung an interne Dokumentensysteme betreibt. Der Agent verarbeitet im Tagesgeschäft Betriebsdokumente, internen Schriftverkehr, externe Berichte. Genau dort entsteht eine bekannte Angriffsfläche: Prompt Injection durch präparierte Inhalte, unsichtbar für den menschlichen Leser. Palo Alto Networks Unit42 hat diesen Angriffspfad dokumentiert 📎 – die Demonstration endete damit, dass eine .env-Datei auf einem externen Server landete. In einem Energieleitsystem-nahen Kontext wäre der Inhalt dieser Datei der Schlüssel zu Fernwartungszugängen. Das Protokoll hat tadellos funktioniert. Es wurde missbraucht, nicht gebrochen. Das ist dieselbe Denkfigur, die ich als Weaponization of Trust im Kontext des Trivy-Angriffs beschrieben habe 📎: nicht die Funktion selbst wird zur Waffe, sondern ihr Kontext.
Ein anderes Szenario, klinische Umgebungen: Dokumentationssysteme integrieren zunehmend KI-Agenten für Anamnese, Medikationsplanung, Befundkommunikation. Was im allgemeinen Enterprise-Kontext als Memory Poisoning beschrieben wird – die schrittweise Manipulation des persistenten Kontextspeichers eines Agenten – nimmt hier eine besondere Qualität an. OWASP identifiziert Memory Poisoning 📎 als die Gefährdung mit dem höchsten Persistenzrisiko: Angreifer korrumpieren den Agenten über Wochen, ohne dass eine einzelne Interaktion als Angriff erkennbar wäre. Ein Agent, dessen Kontextspeicher kompromittiert wurde, handelt aus seiner eigenen Perspektive korrekt. Das System erkennt nichts. Das Personal erkennt nichts. HiddenLayer beziffert im 2026 AI Threat Landscape Report 📎 den Anteil gemeldeter KI-Sicherheitsvorfälle, der auf agentische Systeme zurückgeführt wird, auf eins von acht – in einem Bereich, in dem noch keine systematische Erfassung existiert.
Im Finanzsektor illustriert ein häufig zitiertes, aber öffentlich nicht primär belegtes Szenario, wie die Angriffsfläche konkret aussieht: Angreifer induzieren einen DORA-regulierten Reconciliation-Agenten durch eine als Geschäftsaufgabe formulierte Anfrage dazu, alle Kundendatensätze zu exportieren, die einem bestimmten Muster entsprachen. Das Muster matchte jeden Datensatz in der Datenbank. Die Firewall erlaubt den Zugriff: der Agent hat die Berechtigung. Die Semantik der Anfrage ist keine technische Schwachstelle – sie ist Social Engineering gegen eine nicht-menschliche Entscheidungsinstanz. Ob dieser konkrete Fall so stattgefunden hat oder als Modellfall kursiert, lässt sich nicht sicher verifizieren – das strukturelle Muster dahinter ist dagegen vielfach dokumentiert. Was ich im MCP-Artikel als Credential-Akkumulation als strukturelles High-Value-Target beschrieben habe 📎, ist in diesem Szenario kein Protokollproblem. Es ist ein Governance-Problem.
Das vierte Szenario betrifft die physische Infrastruktur direkt. Das KRITIS-DachG, das der Bundestag am 28. Januar 2026 verabschiedet hat, definiert kritische Anlagen mit physischen Schutzanforderungen und Risikoanalysepflichten gegenüber dem BBK. In Häfen, Wasserversorgungsnetzen, Transportinfrastruktur – überall dort, wo OT und IT konvergieren – entstehen Übergabepunkte, an denen KI-Agenten aus der IT-Schicht Steuersignale in die OT-Schicht übermitteln können. Ich habe diese Problematik im Kontext maritimer Infrastruktur 📎 und im Kontext von Starlink 📎 beschrieben: Ein System, das operativ unverzichtbar geworden ist, bevor seine Governance-Anforderungen definiert wurden, ist eine strukturelle Lücke. Agentische KI in OT-Brückenarchitekturen ist dieselbe Lücke, eine Abstraktionsebene höher.
§30 BSIG adressiert KI-Agenten nicht explizit als eigenständige Systemklasse. Das ist das Problem.
Das NIS2-Umsetzungsgesetz 📎 ist seit dem 6. Dezember 2025 in Kraft. Es schafft verbindliche Pflichten für über 30.000 Einrichtungen in Deutschland. Die Kernanforderungen stehen in §30 BSIG: Konzepte zur Risikoanalyse, Incident Response, Business Continuity, Sicherheit der Lieferkette, Zugangskontrolle. §31 verpflichtet KRITIS-Betreiber zu Systemen zur Angriffserkennung. §38 verankert die persönliche Haftung der Unternehmensleitung für das Risikomanagement.
Die Anforderungen sind klar. Das Problem ist ihre Anwendung auf Systeme, die in den impliziten Annahmen dieser Normen nicht vorkommen.
Risikoanalyse nach §30 Abs. 2 Nr. 1 BSIG setzt voraus, dass relevante Assets identifizierbar sind. Ein KI-Agent, der über MCP-Integrationen auf E-Mail-Systeme, Cloud-Ressourcen und interne Datenhaltungen zugreift, ist in den meisten Organisationen kein Asset im Sinne der ISMS-Dokumentation. Er erscheint in keinem Assetregister. Er taucht in keiner Lieferantenanalyse nach §30 Abs. 2 Nr. 4 auf. Die MCP-Server, die seine Verbindungen herstellen, sind keine gelisteten Drittparteien. Das strukturelle Problem dahinter habe ich am Beispiel von KI in regulierten Umgebungen präzise beschrieben 📎: Zertifizierungen und Compliance-Nachweise decken die Ebene ab, auf der sie ausgestellt wurden – nicht die Schicht darunter. Was das konkret für den Einsatz von KI in entscheidungsrelevanten KRITIS-Prozessen bedeutet, habe ich in der normativen Einordnung von Decision-Grade KI im SOC nach BSI-Grundschutz, ISO 27001/27005 und NIS2 📎 ausgearbeitet. Die Konsequenz gilt hier analog: Das Normengerüst existiert. Die Übertragung auf agentische Systeme ist noch nicht geleistet.
Zugangskontrolle nach §30 Abs. 2 Nr. 5 BSIG geht von der Unterscheidbarkeit menschlicher und nicht-menschlicher Akteure aus. Die verfügbaren Zahlen widerlegen die Praktikabilität dieser Annahme: Laut Palo Alto Networks 📎 – einer Herstellerangabe, die mit anderen Markteinschätzungen übereinstimmt – übersteigen Non-Human Identities heute menschliche Identitäten in Enterprise-Umgebungen um den Faktor 82 zu 1. Gartner prognostiziert 📎, dass bis Ende 2026 vierzig Prozent aller Enterprise-Anwendungen task-spezifische KI-Agenten enthalten werden – ausgehend von weniger als fünf Prozent in 2025. Systeme zur Angriffserkennung nach §31 BSIG, die auf Anomalie-Detektion menschlicher Verhaltensmuster kalibriert sind, erkennen einen kompromittierten KI-Agenten nicht als Anomalie. Der Zugriff sieht aus wie immer. Der Agent handelt – aus der Perspektive der Zugriffsprotokolle – korrekt.
Das ist keine Gesetzeslücke im juristischen Sinne. Es ist eine systematische Anwendungslücke. Was das für Nachweisfähigkeit und Auditierbarkeit bedeutet, habe ich im Kontext von Decision-Grade Compliance 📎 beschrieben: Nachweis und Entscheidung müssen strukturell getrennt bleiben. Bei agentischen Systemen fehlt aktuell beides.
§38 BSIG verankert die persönliche Haftung der Unternehmensleitung für das Risikomanagement. Was das in der Praxis bedeutet – und warum die Zahl auf dem Bußgeldbescheid die kleinere Bedrohung ist – habe ich am Beispiel von Verstößen gegen CRA und NIS-2 durchgespielt 📎. Die Reputationskonsequenz im Incident-Fall übertrifft die Bußgeldsumme strukturell.
Das KRITIS-DachG verschärft dieses Spannungsfeld: Risikoanalysen müssen alle vier Jahre gegenüber dem BBK nachgewiesen werden. Wer agentische KI-Systeme in KRITIS-Anlagen oder deren IT-Umfeld betreibt, ohne diese explizit in der Risikoanalyse zu adressieren, hat eine strukturelle Nachweislücke. Keine formale Pflichtverletzung heute – aber eine, die im Incident-Fall Konsequenzen hat. Und der Grundschutz++ des BSI 📎, in dem diese Fragen langfristig adressiert werden sollen, wird agil entwickelt. Das Ergebnis für agentische Systeme steht noch nicht fest.
Warum ein kompromittierter Agent in einem Energienetz kein IT-Incident ist
Es gibt drei Merkmale kritischer Infrastruktur, die den Gefährdungsgrad agentischer KI strukturell erhöhen.
Erstens: Physische Konsequenzen. Ein Datenverlust in einem Finanzunternehmen ist behebbar. Eine fehlerhafte Schalthandlung in einem Energienetz, eine manipulierte Dosierungsempfehlung in einem klinischen System oder eine kompromittierte Schleusensteuerung sind es nicht ohne weiteres. Ein KI-Agent im KRITIS-Kontext ist kein Werkzeug mit begrenzten Auswirkungen. Er ist ein Entscheidungsträger in einem System, dessen Ausfälle physische Konsequenzen haben. Das ist keine abstrakte Warnung: CISA und ihre internationalen Partner haben diese Konsequenzkette für OT-Umgebungen explizit modelliert 📎. Das erfordert eine andere Sicherheitslogik – eine, die ich in Sicherheit am Kipppunkt 📎 als strukturelle Neuordnung beschrieben habe: Unterhalb der normierten Oberfläche verändert sich KRITIS schneller, als das Regelwerk folgen kann.
Zweitens: Latenztoleranz nahe null. OT-Systeme in der Energieversorgung oder im Transportbereich operieren mit Latenzanforderungen, die Human-in-the-Loop-Modelle strukturell nicht erfüllen können. Wo Reaktionszeiten im Millisekundenbereich liegen, sind KI-Agenten keine Ergänzung zur menschlichen Kontrolle – sie ersetzen sie. Die Frage, wo die klare Grenze im KRITIS-Umfeld verläuft, habe ich in der Analyse KI im SOC ausgearbeitet 📎: Entscheidend ist nicht die Leistungsfähigkeit des Modells, sondern die Frage, wer im Fehlerfall verantwortlich ist – und ob dieser Verantwortliche überhaupt noch in der Lage war einzugreifen.
Drittens: Angreiferinteresse ist dokumentiert. GTG-1002 zielte explizit auf Chemieunternehmen, Finanzinstitute und Regierungsbehörden. Booz Allen Hamilton beziffert in seinem März-2026-Threat-Report 📎 die durchschnittliche Breakout Time – die Zeit zwischen erstem Zugriff und lateraler Bewegung – auf unter dreißig Minuten im Jahr 2025. Die schnellsten dokumentierten Fälle lagen im Sekundenbereich. In einer KRITIS-Umgebung, in der ein KI-Agent mit persistentem Systemzugriff betrieben wird, ist diese Zeitspanne die Zeit, die zwischen Kompromittierung und realem Schaden liegt. Was ich als Eskalation als Default in der Verhaltensanalyse von Frontier-Modellen unter Entscheidungsdruck beschrieben habe 📎, gilt hier operativ: Modelle tendieren bei unvollständigem Kontext in Richtung Aktion. Im KRITIS-Umfeld ist das kein Modellverhalten mehr – es ist ein Sicherheitsrisiko.
Israel hat eine Antwort. Deutschland hat noch nicht die richtige Frage gestellt.
Während das regulatorische Framework in Deutschland mit der Technologiebeschleunigung ringt, beantwortet der israelische Markt die Frage bereits mit Kapital und Produkten.
Oasis Security 📎, 2022 gegründet von Danny Brickman und Amit Zimerman, beide Veteranen israelischer Geheimdiensteinheiten, hat im März 2026 eine Series-B-Finanzierung über 120 Millionen Dollar abgeschlossen 📎 – Gesamtfinanzierung rund 190 bis 195 Millionen Dollar, geführt von Craft Ventures mit Beteiligung von Sequoia Capital, Accel und Cyberstarts. Das Unternehmen positioniert sich als Pioneer des Agentic Access Management (AAM): eine Steuerebene, die KI-Agenten und nicht-menschliche Identitäten nach demselben Prinzip wie Zero Trust behandelt, das menschliche Zugriffe seit Jahren strukturiert – mit dem Unterschied, dass Zugriffe hier nicht auf Basis statischer Rollen, sondern auf Basis von Intent-Analyse in Echtzeit vergeben werden. Jeder Agent bekommt nur die Rechte, die er für die aktuelle Aufgabe benötigt. Nicht mehr.
Brickman hat das Problem in einem Satz auf den Punkt gebracht, der präziser ist als jede regulatorische Formulierung, die ich bisher zu diesem Thema gelesen habe: „Every organization deploying AI agents is taking on access risks they can’t yet see.“ Das ist keine Marketingaussage. Es ist die technische Diagnose zu §30 Abs. 2 Nr. 5 BSIG – formuliert von jemandem, der sie lösen will, nicht beschreiben muss.
Der deutsch-israelische Cyberpakt vom Januar 2026 📎 markiert den Moment, ab dem Israel nicht mehr nur als Produktlieferant, sondern als strategischer Sicherheitspartner für deutsche KRITIS-Infrastruktur verstanden wird. Oasis Security steht exemplarisch für das, was dieser Pakt auf Produktebene bedeutet: IDF-Expertise, angewandt auf das Problem, das NIS-2 regulieren will, ohne es technisch zu spezifizieren.
Ich habe das Markteintrittsmodell israelischer Sicherheitsunternehmen im europäischen regulierten Sektor mehrfach beschrieben – am Luftfahrtmarkt 📎, am CRA-Kontext für KI-Anbieter 📎 und in der grundlegenden Frage, was regulatorische Architektur für den Marktzugang bedeutet 📎: Der Markt öffnet sich nicht entlang technologischer Leistungsfähigkeit, sondern entlang regulatorischer Anschlussfähigkeit. Wer zu spät nach NIS-2-Konformität fragt, findet eine Tür, die nicht wegen des Produkts verschlossen ist, sondern wegen fehlender Nachweisfähigkeit.
Das ist auch eine Marktchance. Der Bedarf ist real, der Zeitpunkt früh, die Anbieterseite noch nicht konsolidiert.
Der Einwand, den ich höre – und warum er nicht trägt
Wenn ich das Thema in Gesprächen mit CISOs und ISBs anspreche, kommt regelmäßig eine Variante desselben Einwands. Die erste: „Wir haben Human-in-the-Loop. Der Agent tut nichts ohne unsere Freigabe.“ Die zweite: „Wir setzen nur kommerzielle Anbieter mit ISO 27001 und SOC-2 ein. Das ist abgesichert.“
Beide Einwände waren vor zwei Jahren vertretbar. Sie tragen heute nicht mehr.
Human-in-the-Loop schützt gegen unerwartetes Modellverhalten – also gegen Fälle, in denen der Agent eigenmächtig handelt. Er schützt nicht gegen Prompt Injection. Bei Prompt Injection führt der Agent aus der eigenen Perspektive einen legitimen Befehl aus. Die Freigabe-Logik sieht keinen Unterschied zwischen einem echten Nutzerbefehl und einer eingebetteten Manipulation. Wer sagt „wir haben Human-in-the-Loop“ und glaubt damit das Injektionsproblem gelöst zu haben, hat das Problem nicht verstanden.
Die ISO-27001-Zertifizierung des Modellanbieters sagt nichts darüber aus, wie die MCP-Server gesichert sind, die diesen Anbieter mit den eigenen Systemen verbinden. Das sind zwei verschiedene Sicherheitsbereiche. Nur einer davon ist durch die Zertifizierung abgedeckt. Was der andere enthält, habe ich im MCP-Artikel ausgeführt 📎: 30 CVEs in 60 Tagen, SSRF-Exponierungsraten von 36,7 Prozent bei öffentlich gescannten Servern, einen Patch Tuesday-Eintrag mit CVSS 8.8 in einer produktiven Microsoft-Azure-Komponente.
Der dritte Einwand, den ich seltener höre, aber für den gefährlichsten halte: „Wir testen das noch. Wir sind noch in der Pilotphase.“ GTG-1002 hat im September 2025 klinische Systeme, Chemieunternehmen und Regierungsbehörden angegriffen – nicht die Produktivsysteme marktführender KI-Anbieter. Wer in der Pilotphase keine Governance aufbaut, baut sie auch nach dem Rollout nicht. Das Pilotargument ist kein Aufschub. Es ist die Entscheidung, den Aufbau zu verschieben.
Drei Fragen für Montag früh – bevor der Prüfer oder ein Incident sie stellt
Wer in seiner Organisation KI-Agenten in oder nahe regulierten Umgebungen betreibt, sollte drei Fragen beantwortet haben.
Erstens: Sind Ihre KI-Agenten als Assets in der Risikoanalyse nach §30 BSIG erfasst? Nicht als Softwareprodukte, sondern als Systemklasse mit eigener Identität, eigenem Berechtigungsprofil und eigenem Zugriffspfad auf kritische Ressourcen? In den meisten Organisationen lautet die ehrliche Antwort: Nein. Das ist kein Versäumnis. Es ist eine Folgefrage, die noch niemand systematisch gestellt hat. Sie wird gestellt werden – spätestens von einem Prüfer oder einem Incident. Ich habe beschrieben, warum Deutschlands Cyber-Dome-Ansatz an der KRITIS-Realität scheitert 📎: Cyber-Sicherheit ist kein Erkenntnisproblem. Moderne Systeme erkennen Angriffe – aber nur dann, wenn sie für die richtige Angriffsklasse kalibriert sind. Agentische KI ist eine Angriffsklasse, für die die meisten Detektionssysteme noch nicht kalibriert wurden.
Zweitens: Welche nicht-menschlichen Identitäten haben Schreibzugriff auf Systeme, die unter §31 BSIG oder das KRITIS-DachG fallen? Die 82-zu-1-Ratio bedeutet, dass das Angriffspotenzial des Identitätsraums in den meisten Organisationen nicht mehr durch klassisches IAM abgedeckt wird. Ein kompromittierter Agent-Token erscheint in keinem klassischen Login-Alert als Anomalie. Was ich als stilles Versagen der SOC-Erkennungsinfrastruktur beschrieben habe 📎 gilt hier strukturell: Das System, das schützen soll, wurde nicht für diese Angriffsklasse gebaut.
Drittens: Was ist Ihre dokumentierte Akzeptanzentscheidung für den Einsatz agentischer KI? §38 BSIG verpflichtet die Unternehmensleitung zur persönlichen Verantwortung für das Risikomanagement. Eine solche Entscheidung setzt voraus, dass jemand sie explizit getroffen und dokumentiert hat – mit Kenntnis der Gefährdungsszenarien, des regulatorischen Kontexts und der Mitigationsmaßnahmen. In den meisten Organisationen ist agentische KI de facto eingeführt worden, nicht entschieden. Das ist kein Argument gegen den Einsatz. Es ist das Argument für eine explizite Entscheidung, die Compliance als Design-Prinzip begreift 📎 – nicht als Nachgedanken.
Was dieser Artikel offen lässt – und warum das selbst ein Befund ist
Die regulatorische Einordnung agentischer KI-Systeme unter §30 und §31 BSIG ist noch nicht durch behördliche Interpretationen geschärft. Das KRITIS-DachG gilt ab März 2026, die sektorspezifischen Ausführungsverordnungen sind noch in Entwicklung. Die CISA/NSA-Guidance vom Dezember 2025 📎 liefert vier Prinzipien – keine Implementierungsanforderungen. Und der Grundschutz++ des BSI wird agil entwickelt; das Ergebnis für agentische Systeme steht noch nicht fest.
Das bedeutet: Die Fragen, die dieser Artikel stellt, haben noch keine behördlich validierten Antworten. Sie haben aber schon dokumentierte Schadensszenarien. Und sie haben einen Zeitplan: KRITIS-DachG ab März 2026, NIS2 seit Dezember 2025, BBK-Registrierungsfrist bis Juli 2026.
Die Governance-Lücke für agentische KI in KRITIS-Umgebungen ist kein Vorausblick. Sie ist ein aktueller Befund.
In meiner Arbeit als Executive Security Architect begleite ich Betreiber regulierter Umgebungen dabei, KI-gestützte Architekturen so aufzubauen, dass sie den regulatorischen Anforderungen standhalten, die 2026 und 2027 vollständig in Kraft sein werden – und israelische Technologieunternehmen dabei, diese Anforderungen als Marktanforderung zu verstehen, nicht als Hindernis. Agentische KI in KRITIS-Umgebungen ist das Thema, zu dem ich derzeit am häufigsten befragt werde – und das, für das die wenigsten validierten Antworten vorliegen.
Sie betreiben KI-Agenten in einer NIS-2- oder KRITIS-relevanten Umgebung und fragen sich, welche Gefährdungsszenarien in Ihrer Risikoanalyse fehlen? Oder Sie entwickeln als israelisches Sicherheitsunternehmen eine Lösung für diesen Markt und suchen den Einstieg in den europäischen regulierten Sektor? Dann ist jetzt der Zeitpunkt, darüber zu sprechen. 📎
Anmelden zu unserem Newsletter:
Schreibe einen Kommentar